Доступ запрещен при выполнении заданий пакетная служба Azure

  • Статья

Учетная запись хранения Azure является необходимым зависимым компонентом для пакетная служба Azure учетной записи для хранения файлов ресурсов, пакетов приложений и выходных файлов. Во многих случаях для повышения безопасности используется учетная запись хранения Azure с брандмауэром. Однако учетная запись хранения Azure с брандмауэром может привести к ошибкам при выполнении заданий пакетная служба Azure. В этой статье описаны решения таких проблем.

Симптомы

При выполнении заданий пакетная служба Azure могут возникнуть ошибки, связанные с связанной учетной записью хранения Azure.

Ниже приведен пример ошибки:

Категория: UserError
Код: ResourceContainerAccessDenied
Сообщение. Доступ для одного из указанных контейнеров блога Azure запрещен

Причина

При создании пула пакетная служба Azure будут подготовлены новые виртуальные машины (узлы пакетной службы). Если не назначить пулу пакетной службы статический общедоступный IP-адрес, будет назначен случайный общедоступный IP-адрес. При изменении количества узлов до 0 и повторном изменении размера общедоступный IP-адрес этих новых узлов пакетной службы будет меняться. Таким образом, если связанная учетная запись хранения имеет настроенный брандмауэр, вам трудно управлять списком разрешенных брандмауэра.

Если учетная запись хранения и пул пакетной службы находятся в одном регионе, независимо от того, имеет ли пул пакетной службы статический общедоступный IP-адрес или нет, исходящий трафик с узлов пакетной службы всегда будет проходить через магистральный Интернет Azure (частные IP-адреса). Брандмауэру хранилища запрещено добавлять частный IP-адрес в список разрешений, что приведет к запрету трафика к учетной записи хранения.

Разрешение

Чтобы устранить эту проблему, управляйте пулом пакетной службы и конфигурациями учетных записей хранения в зависимости от сценариев.

Примечание.

Если вам нужно отправить пакеты приложений, ни одно из следующих решений не будет работать. Учетная запись хранения не должна настраивать брандмауэр. Дополнительные сведения см. в статье Связывание учетной записи хранения.

Сценарий 1. Пул пакетной службы и учетная запись хранения находятся в одном регионе, а пул пакетной службы имеет виртуальную сеть

  1. Проверьте сведения о подсети в разделе Конфигурация сети из портал Azure >Свойствапула>учетных записей> пакетной службы. Запишите и запишите сведения.

    Снимок экрана: сведения о подсети пула пакетная служба Azure.

  2. Перейдите к учетной записи хранения и выберите Сеть. В параметре Брандмауэры и виртуальные сети выберите Включить из выбранных виртуальных сетей и IP-адресов для доступа к общедоступной сети. Добавьте подсеть пула пакетной службы в список разрешенных брандмауэров.

    Снимок экрана: добавление подсети в список разрешенных брандмауэра.

    Если подсеть не включает конечную точку службы, при ее выборе уведомление будет отображаться следующим образом:

    В следующих сетях для Microsoft.Storage не включены конечные точки службы. На включение доступа потребуется до 15 минут. После запуска этой операции можно безопасно выйти и вернуться позже, если вы не хотите ждать.

    Поэтому перед добавлением подсети проверка ее в виртуальной сети пакетной службы, чтобы узнать, включена ли конечная точка службы для учетной записи хранения.

    Снимок экрана, на котором показано, как проверка, включена ли конечная точка службы.

После завершения описанных выше конфигураций узлы пакетной службы в пуле смогут получить доступ к учетной записи хранения.

Сценарий 2. Пул пакетной службы и учетная запись хранения находятся в разных регионах

  1. Создайте пул пакетной службы в виртуальной сети со статическим общедоступным IP-адресом. Дополнительные сведения см. в статье Создание пула пакетной службы с указанными общедоступными IP-адресами.

    Так как пул пакетной службы и учетная запись хранения находятся в разных регионах, исходящий трафик будет проходить через общедоступный Интернет через общедоступный IP-адрес.

  2. Запишите общедоступный IP-адрес.

  3. Назначьте общедоступный IP-адрес общедоступного Load Balancer пула пакетной службы.

    После этого проверка свойства пула пакетной службы. Они будут похожи на те, что приведены на следующем снимке экрана:

    Снимок экрана: свойства пула пакетной службы.

  4. Добавьте общедоступный IP-адрес в список разрешенных брандмауэра хранилища.

    Снимок экрана: общедоступный IP-адрес.

    Снимок экрана: общедоступный IP-адрес добавлен в список разрешений.

  5. Запустите задания пакетной службы с помощью только что созданного пула пакетной службы.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.